PRIVACY 2018, domande & risposte

PRIVACY 2018, domande & risposte

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Privacy. Rappresenta un cambiamento di prospettiva e si applica a tutte le aziende, piccole e grandi, nel pubblico e nel privato.
Vi è un nuovo approccio che privilegia l’aspetto sostanziale (non più adempimenti meramente formali). L’azienda è “responsabilizzata” ad analizzare la propria situazione e gli eventuali specifici rischi prima porre in essere azioni concrete anche da un punto di vista organizzativo.
Non ci sono più le “misure minime” previste dall’attuale Codice della Privacy ma spetta al titolare del trattamento valutare se e come trattare i dati, quali sono i rischi connessi al trattamento e quali sono le conseguenti misure da adottare per l’effettiva tutela dei dati stessi.
In sintesi l’impresa, ovvero il titolare del trattamento, ha il compito di:
  • decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati;
  • valutare il rischio che tale trattamento comporta;
  • dimostrare di aver adottato le misure tecniche ed organizzative, costantemente aggiornate, tali da garantire un livello di sicurezza adeguato al rischio.
Altrettanto rilevante è il principio della minimizzazione ovvero devono essere trattati solo i dati necessari per raggiungere le finalità del trattamento. In altri termini i dati raccolti devono essere adeguati e pertinenti rispetto al fine che si intende perseguire e non possono essere raccolti in misura maggiore a quella necessaria.
A questi due principi si ricollegano alcune importanti novità introdotte dal Regolamento, ovvero la privacy by design e la privacy by default.
Privacy by design (“fin dalla progettazione”): è necessario tutelare i dati sin dalla fase di sviluppo, progettazione, selezione o utilizzo di applicazioni, servizi e prodotti per il trattamento di dati personali. In altre parole, ove il titolare intenda trattare dati altrui, deve già aver previsto un sistema che sin dall’inizio dell’attività, minimizzi la raccolta dei dati e limiti possibili violazioni dei dati raccolti.
La privacy by default: devono essere adottate misure tecniche e organizzative volte a garantire che vengano trattati solo i dati personali necessari alle finalità perseguite. Ciò comporta l’impostazione predefinita (di default) di un trattamento minimo dei dati ovvero il trattamento dei dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario

Le risposte alle principali domande delle micro e piccole imprese
 
Quando è entrato in vigore il nuovo Regolamento (UE) 2016/679 sulla Privacy?
Il Regolamento Generale sulla protezione dei dati, pubblicato nella Gazzetta ufficiale dell’ Unione europea il 4 Maggio 2016 ed entrato in vigore il ventesimo giorno successivo a tale pubblicazione, è diventato effettivamente applicabile a partire dal 25 Maggio 2018. Tutte le imprese che offrono servizi nel territorio dell’ Unione europea e che ancora non si sono allineate agli standard di protezione indicati nel Regolamento, devono adeguarsi il prima possibile, preoccupandosi di eleggere anche il loro Responsabile della protezione dei dati personali (RPD in italiano o DPO in inglese).
Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è la figura prevista dall’articolo 37 del Regolamento (UE) 2016/679: è il soggetto incaricato, dal titolare o dal responsabile del trattamento, per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del Regolamento stesso. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (articoli 38 e 39 del Regolamento).
Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Il responsabile della protezione dei dati personali RPD, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi Albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve essere in grado di offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve agire in piena indipendenza ed autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre di risorse (ad esempio di personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del responsabile della protezione dei dati personali RPD il titolare ed il responsabile del trattamento che rientrino nei casi previsti dall’articolo 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679: sono i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala od in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

Sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e di ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ad esempio ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Quali sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
La designazione del responsabile del trattamento non è obbligatoria, ad esempio, in relazione ai trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura.
Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno?
Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto dal titolare dell’impresa o da un dipendente che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura.
Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale.
Il titolare od il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla.
I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria.
Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto devono essere invece comunicati all’Autorità di controllo.
Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc.).
Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).
Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?
Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento: nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti. Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.
Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.
Cosa è il diritto all’oblio?
La norma sancisce il diritto ad ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nell’ipotesi di una persona che è stata assolta da un’accusa di cui i giornali e le testate online avevano dato notizia). Questo diritto si estende anche ai casi in cui un soggetto chiede la cancellazione dei propri dati personali, così revocando il consenso al trattamento concesso per fruire di un determinato servizio. Il diritto all’oblio del cittadino potrà essere limitato solo per garantire la libertà di espressione volta alla tutela di un interesse generale (ad esempio la salute pubblica) o quando i dati trattati in forma anonima dal titolare del trattamento siano necessari per la ricerca storica o per finalità scientifiche o statistiche.
Quando è lecito il trattamento dei dati personali?
Solo se ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei prori dati;
b) il trattamento è necessario all’esecuzione di un contratto o di misure precontrattuali;
c) il trattamento è necessario per adempiere ad un obbligo di Legge;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessaro per la salvaguardia di un compito di interesse pubblico;
f) il trattamento è necessario per il perseguimento del legittimo interesse dell’interessato.
Quali sono le condizioni per il consenso al trattamento dei propri dati personali?
Se il trattamento è basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
La richiesta di consenso deve essere presentata in forma facilmente comprensibile ed accessibile, utilizzando un linguaggio semplice e chiaro. L’interessato ha il diritto di revocare il consenso in qualsiasi momento.
Possono essere trattati i dati che rivelino l’origine razziale od etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici o biometrici, i dati relativi alla salute od alla vita sessuale della persona?
E’ vietato. Il trattamento è ammesso solo se l’interessato ha prestato il proprio consenso esplicto al trattamento di tali dati personali per una o più finalità specifiche.
E’ ammesso anche nei seguenti casi: necessità di assolvere agli obblighi ed esercitare diritti in materia di diritto del lavoro e della sicurezza sociale; per tutelare un interesse vitale dell’interessato o di un’altra persona fisica; quando il trattamento è effettuato da una fondazione, da un’associazione od altro organismo senza scopo di lucro che persegue finalità politiche, religiose o sindacali; i dati trattati sono resi manifestamente pubblici dall’interessato.
Quali sono le informazioni da fornire?
1) L’ identità e i dati di contatto del titolare del trattamento e del suo rappresentante;
2) I dati di contatto del responsabile della protezione dei dati;
3) Le finalità del trattamento cui sono destinati i dati personali nonchè la base giuridica del trattamento;
4) Gli eventuali destinatari dei dati personali.
Inoltre, per garantire un trattamento corretto e trasparente, è necessario fornire all’ interessato anche le seguenti informazioni:
1) il periodo di conservazione dei dati personali;
2) l’esistenza del diritto di chiedere al titolare l’ accesso ai dati personali e la rettifica o cancellazione degli stessi, oltre al diritto alla portabilità dei dati;
3) il diritto di proporre reclamo a un’ autorità di controllo;
4) se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’ interessato ha l’ obbligo di fornire i dati personali;
5) l’esistenza di un processo decisionale autorizzato.
Chi è il Titolare del Trattamento?
E’ colui che “da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Può essere “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.
Il titolare del trattamento non è chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l’obbligo di notifica al Garante nei casi previsti.
Il titolare del trattamento deve quindi porre in atto misure tecniche ed organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell’interessato.
Il titolare nomina con contratto o atto giuridicamente valido, il responsabile del trattamento, insieme al quale pone in atto le misure tecniche ed organizzative congrue per garantire un livello di sicurezza adeguato al rischio. Il responsabile deve garantire una conoscenza specialistica della materia, e l’attuazione delle misure tecniche e organizzative in grado di soddisfare i requisiti stabilitl dal regolamento europeo, oltre una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l’assenza di condanne penali).
Inoltre, il titolare del trattamento, ed il responsabile, sono tenuti alla redazione del registro dei trattamenti.
Quando è obbligatoria la valutazione di impatto sulla protezione dei dati (DPIA)? (Fonte Autorità Belga per la Protezione dei Dati)
Trattamenti che utilizzano dati biometrici per l’identificazione univoca di persone in un luogo pubblico o in un luogo privato accessibile al pubblico;
quando i dati personali sono raccolti da terzi per essere successivamente utilizzati ai fini della decisione di rifiutare o di risolvere un determinato contratto di servizi con una persona fisica;
quando il trattamento riguarda categorie particolari di dati personali, ai sensi dell’art. 9 GDPR, che sono (ri)utilizzati per uno scopo diverso da quello per il quale sono stati raccolti, tranne nel caso in cui il trattamento sia basato sul consenso dell’interessato o se è necessario per adempiere ad un obbligo legale a cui è sottoposto il titolare;
quando il trattamento è eseguito utilizzando un apparato ed una violazione dei dati personali potrebbe compromettere la salute fisica dell’interessato;
nel caso di trattamento su larga scala di dati personali di soggetti vulnerabili, compresi i bambini, per uno o più scopi diversi da quelli per i quali i dati sono stati raccolti;
quando i dati sono raccolti su larga scala da terze parti per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento di persone fisiche;
quando particolari categorie di dati personali ai sensi dell’articolo 9 GDPR o dati di natura molto personale (come i dati sulla povertà, disoccupazione, partecipazione al lavoro giovanile o lavoro sociale, dati di attività domestiche e private, dati di localizzazione) sono sistematicamente scambiati tra diversi titolari;
quando si tratta di elaborazione su larga scala di dati generati da dispositivi dotato di sensori che inviano dati via Internet o altri mezzi (Internet of Things, come smartTV, elettrodomestici intelligenti, giocattoli, smart cities, contatori intelligenti di energia, ecc.) e tale trattamento è utilizzato per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento delle persone fisiche;
quando si tratta di elaborazione su larga scala e/o sistematica di dati di telefonia, Internet o altri dati di comunicazione, metadati o dati di localizzazione di persone fisiche o che consentano di condurre a persone fisiche (ad es. tracciamento wifi o elaborazione dei dati sulla posizione dei viaggiatori nel trasporto pubblico);
quando il trattamento non è strettamente necessario per l’esecuzione di un servizio richiesto dall’interessato;
in caso di elaborazione automatizzata e sistematica di dati personali su larga scala in cui il comportamento delle persone fisiche è monitorato, raccolto, stabilito o influenzato, inclusi i trattamenti per scopi pubblicitari.
Quando non è obbligatoria la valutazione di impatto sulla protezione dei dati (DPIA)? (Fonte Autorità Belga per la Protezione dei Dati)
I trattamenti effettuati da privati necessari ad adempiere ad un obbligo normativo, e per i quali la legge abbia indicato gli scopi dell’elaborazione, le categorie di dati personali e le garanzie per prevenire abusi o accessi o trasferimenti illegittimi;
il trattamento relativo esclusivamente ai dati necessari per l’amministrazione degli stipendi dei dipendenti del Titolare, quando i dati sono utilizzati unicamente per tale finalità, sono comunicati solo ai destinatari autorizzati a tale scopo e non sono conservati più a lungo del tempo necessario per conseguire la finalità del trattamento;
il trattamento relativo esclusivamente all’amministrazione dei dipendenti del Titolare, nella misura in cui tale trattamento non coinvolge i dati relativi alla salute degli interessati o altre particolari categorie di dati di cui all’art. 9 GDPR o dati di cui all’art. 10 GDPR, ed i dati personali non sono conservati più a lungo del tempo richiesto per la finalità di amministrazione del personale e sono comunicati a terzi solo se previsto da una disposizione di legge o regolamentare o per la realizzazione delle finalità del trattamento;
trattamenti di dati personali che riguardano esclusivamente la contabilità del Titolare, quando i dati vengono utilizzati esclusivamente per tale finalità, e purché i dati personali non sono conservati più a lungo del tempo necessario al conseguimento delle finalità del trattamento ed i dati personali trattati sono comunicati a terzi in base ad una previsione di legge o la comunicazione è necessaria per la contabilità;
il trattamento di dati personali relativi all’amministrazione di azionisti e soci quando il trattamento riguarda solo i dati necessari per tale amministrazione, e sono comunicati a terzi esclusivamente in base ad una previsione di legge o regolamentare e non vengono conservati oltre il tempo necessario per raggiungere gli scopi del trattamento;
il trattamento di dati personali da parte di una fondazione, associazione o qualsiasi altra istituzione senza scopo di lucro in occasione delle sue attività abituali, a condizione che il trattamento riguardi esclusivamente i dati personali relativi ai propri membri, alle persone con cui il Titolare mantiene contatti regolari quali beneficiari, purché non vi siano dati ottenuti da terzi, e che i dati non vengano conservati più a lungo del tempo richiesto per l’amministrazione e siano comunicati a terzi solo in presenza di una disposizione di legge o regolamentare;
il trattamento di dati personali relativo alla registrazione dei visitatori per il controllo accessi, quando i dati elaborati sono limitati al nome ed indirizzo professionale del visitatore, all’identificazione del suo datore di lavoro, all’identificazione del veicolo, al nome, la sezione e la funzione della persona visitata ed al momento della visita, ed i dati non sono conservati oltre il tempo necessario alla finalità di controllo accessi;
il trattamento di dati personali da parte di istituti di formazione per la gestione dei loro rapporti con gli alunni e studenti, purché il trattamento si riferisca solo a studenti attuali e potenziali o ad ex studenti e non vengano trattati dati ottenuti da terzi, e la comunicazione avvenga unicamente sulla base di una disposizione normativa o regolamentare ed il dato non sia conservato per un periodo superiore a quello necessario a mantenere la comunicazione tra lo studente e l’istituto;
il trattamento di dati personali relativi esclusivamente alla gestione dei clienti e fornitori del Titolare, purché il trattamento riguardi solo clienti e fornitori attuali o precedenti e non siano ricomprese particolari categorie di dati, ex art. 9 GDPR o dati di cui all’art. 10 GDPR, e per quanto riguarda l’amministrazione della clientela, non vengano registrati dati forniti da terzi, ed i dati siano conservati per il periodo necessario alla normale gestione della clientela del Titolare e siano comunicati a terzi solamente in base ad una norma di legge o di regolamento o nel quadro della normale gestione aziendale. [da http://www.confartigianato.laspezia.it/node/6408]

Articoli correlati

Condividi questa notizia: